Сертификат AM Test Lab
Номер сертификата: 43
Дата выдачи: 16.08.2011
Срок действия: 16.08.2016
Введение
Защита данных от их потери или кражи давно стала актуальной задачей как для домашних пользователей, так и, в значительно большей степени, для организаций. Одним из надежных способов защиты данных является их шифрование. Потеря или кража зашифрованного носителя не приводит к утечке информации, т.к. без соответствующего пароля или ключа данные восстановить невозможно. А шифрование файлов и папок на компьютере позволяет получать доступ к ним только определенному кругу пользователей. В данном обзоре мы рассмотрим новую версию отечественного решения для криптографической защиты данных – InfoWatch CryptoStorage 2.1, которая предоставляет большой набор функций шифрования различных объектов.
Для работы с данными в InfoWatch CryptoStorage 2.1 используется механизм прозрачного шифрования – данные хранятся в зашифрованном виде, при обращении к защищенным данным они автоматически расшифровываются в оперативной памяти, а при записи обратно на диск – снова зашифровываются. Для пользователей работа с зашифрованными объектами отличается от работы с обычными объектами только необходимостью подключать объект и проходить процедуру аутентификации. Для шифрования используется алгоритм AES, который одобрен международным криптографическим сообществом и является стандартом в области криптографии в США. Используемая длина ключа шифрования – 128, 192 и 256 бит.
Следует сказать о том, что в InfoWatch CryptoStorage 2.1 для доступа к зашифрованным объектам реализован многопользовательский режим, который позволяет для каждого защищенного объекта устанавливать две роли - владелец и пользователь.
Владелец - это пользователь, имеющий право на выполнение любых действий над объектом. Владелец защищенного объекта назначается при установке защиты на объект (или при создании защищенного объекта). У каждого защищенного объекта может быть только один владелец.
Пользователь - это любой пользователь, которого владелец включил в список доступа к защищенному объекту. Пользователь не может снимать защиту с объекта и изменять список доступа.
InfoWatch CryptoStorage 2.1 позволяет шифровать три вида объектов: папки, контейнеры и диски (или разделы дисков):
- Зашифрованные папки позволяют безопасно хранить данные на компьютере. После установления защиты для доступа к папке требуется аутентификация. Если аутентификация не произведена, то получить доступ к содержимому папки или удалить ее невозможно. Следует помнить, что шифрование папок производится только в файловой системе NTFS.
- Защищенные контейнеры представляют собой специальные файлы, работать с которыми можно как с виртуальными логическими дисками. Контейнеры с располагающимися внутри файлами удобно использовать для переноса или отправки информации. Контейнеры можно записывать на диски, внешние накопители данных, пересылать по почте. При наличии пароля открыть контейнер можно на любом компьютере с установленной программой InfoWatch CryptoStorage 2.1.
- Защищенные диски (или разделы дисков) позволяют защитить информацию, хранящуюся на винчестере или устройствах класса Mass Storage (флэш-накопители и устройства хранения данных с интерфейсом USB). При защите загрузочного диска авторизация пользователя должна осуществляться до загрузки операционной системы. В этом случае невозможен подбор пароля методом полного перебора.
Помимо защиты конфиденциальной информации посредством шифрования в программе имеется возможность гарантированного удаления данных, без возможности последующего восстановления.
Рассматриваемая в данном обзоре новая версия InfoWatch CryptoStorage 2.1 содержит ряд усовершенствований по сравнению с первой версией продукта. Был обновлен пользовательский интерфейс, появилась возможность использовать алгоритм AES с длиной ключа 128, 192 и 256 бит, расширенна линейка поддерживаемых версий Windows, улучшен механизм восстановления защищённых разделов в случае повреждения метаданных. Также появилась возможность подключать контейнеры только в текущей сессии пользователя. Срок действия коммерческой лицензии в данной версии стал неограниченным. Теперь для пользователя, оплатившего коммерческую лицензию, по истечении года и последующих лет не применяются ограничения по функциональности продукта и возможны обновления в рамках минорной версии.
Теперь перейдем непосредственно к обзору.
Системные требования
Для работы с InfoWatch CryptoStorage 2.1 компьютер должен удовлетворять следующим системным требованиям:
- процессор - не ниже Intel Celeron c частотой 1 ГГц или выше;
- оперативная память – не менее 256 Мб;
- место на жестком диске – 10 Мб для установки программы;
Поддерживаемые операционные системы:
- Windows XP (SP3);
- Windows Vista (SP2);
- Windows 7;
- Windows Server 2003;
- Windows Server 2008 / 2008 R2;
- Windows Home Server;
- Windows Small Business Server 2011 Essentials и Standard.
InfoWatch CryptoStorage 2.1 может работать как на 32-х, так и на 64-битных операционных системах.
Функциональные возможности
Защищаемые объекты. InfoWatch CryptoStorage 2.1 позволяет:
- создавать отдельные защищенные папки в файловой системе NTFS для размещения конфиденциальной информации;
- создавать виртуальные защищенные диски (защищенные контейнеры) для размещения конфиденциальной информации;
- защищать всю информацию на логических разделах жесткого диска, включая системные и загрузочные, на Flash-накопителях, устройствах хранения данных с интерфейсом USB и прочих устройствах класса Mass Storage.
Обеспечивается конфиденциальность при защите системного диска:
- содержимого оперативной памяти, сохраняемого на диске при переходе в спящий (hibernate) режим;
- данных файла дампа памяти (crash dump), сохраняемого на диске в экстренных ситуациях;
- информации из временных файлов и файлов подкачки.
Предоставляются следующие возможности при работе с защищенными данными:
- разграничение прав доступа к защищенной информации на основе паролей пользователей;
- многопользовательский доступ к защищаемой информации;
- возможность размещения одних защищенных объектов внутри других с произвольной глубиной вложенности;
- предотвращение случайного или умышленного уничтожения защищенных объектов посредством ограничения доступа к этим объектам;
- работа с защищенными контейнерами и папками, расположенными как на компьютере пользователя, так и на ресурсах локальной сети;
- возможность переноса защищенных объектов вместе с физическим носителем, на котором объекты расположены, на другой компьютер с установленной InfoWatch CryptoStorage 2.1;
- гарантированное удаление файлов и папок.
Процесс установки
Процесс установки и настройки InfoWatch CryptoStorage 2.1 достаточно прост. После запуска инсталляционного файла мы видим приветственное окно мастера установки, в котором нажимаем кнопку «Далее».
Рисунок 1. Начальное окно мастера установки InfoWatch CryptoStorage 2.1
В следующем окне мы можем познакомиться с лицензионным соглашением. Внимательно его читаем, выбираем пункт «Я принимаю условия лицензионного соглашения» и жмем «Далее».
Рисунок 2. Подтверждение лицензионного соглашения InfoWatch CryptoStorage 2.1
Далее выбираем директорию, в которую будет установлен InfoWatch CryptoStorage 2.1.
Рисунок 3. Выбор директории установки InfoWatch CryptoStorage 2.1
В следующем окне выводится сообщение о том, что программа готова к началу установки. Для начала установки нажимаем кнопку «Установить».
Рисунок 4. Запуск установки InfoWatch CryptoStorage 2.1
После этого будет запущен процесс установки, в конце которого нам предложат активировать программу. Мы можем ввести код активации или активировать ознакомительную версию для изучения InfoWatch CryptoStorage 2.1 перед ее покупкой. Ознакомительная версия является полнофункциональной, длительность ее использования составляет 30 дней. Единственное ограничение ознакомительной версии касается длины пароля, которая не может быть больше одного символа. В коммерческой версии данного ограничения нет. После окончания действия ознакомительной версии программы доступ к защищённым данным не утрачивается и возможно снятие с них защиты.
Рисунок 5. Активация продукта
На этом процесс установки завершен.
Рисунок 6. Последнее окно установки InfoWatch CryptoStorage 2.1
По окончании установки для работы InfoWatch CryptoStorage 2.1 нужно перезагрузить компьютер.
Работа с InfoWatch CryptoStorage 2.1
У InfoWatch CryptoStorage 2.1 нет главного окна программы, как у большинства программ. Доступ к ее функциям осуществляется через контекстное меню проводника Microsoft Windows. Чтобы открыть контекстное меню нужно выделить объект (файл, папку, логический или съемный диск, защищённый контейнер, защищённую папку), нажать на нем правой кнопкой мыши и в раскрывшемся меню выбрать пункт InfoWatch CryptoStorage. После этого мы получим доступ к списку команд для работы с объектом. В зависимости от типа объекта, с которым мы работаем, и его состояния (защищённый или нет, подключённый или нет), список команд будет отличаться. Если это незащищённый файл или папка, то единственным возможным действием будет «Гарантированное удаление».
Рисунок 7. Пример набора команд в контекстном меню InfoWatch CryptoStorage 2.1
Для защиты различных объектов должны быть включены соответствующие им подсистемы InfoWatch CryptoStorage 2.1 («по умолчанию» они включены). Настройка подсистем производится при помощи конфигуратора CryptoStorage. Для его запуска нужно в меню «Пуск» выбрать пункт «Все программы\InfoWatch CryptoStorage\Конфигурация CryptoStorage».
В окне конфигурирования можно включить/отключить работу подсистем защиты логических дисков, контейнеров и файловой системы. Также мы можем выбрать алгоритм шифрования – AES 128, 192 или 256, который будет использоваться «по умолчанию» при создании защищённого объекта или переустановке защиты. В нижней части окна показывается информация о сроке действия лицензии и находится кнопка «Лицензии…», позволяющая вызвать окно для добавления ключа активации программы и кнопка «О программе», позволяющая посмотреть информацию о текущей версии программы.
Рисунок 8. Окно конфигурирования InfoWatch CryptoStorage 2.1
Следует помнить, что, если подсистемы защиты отключены или программа была удалена, то подключение защищённых объектов и доступ к защищенным данным в расшифрованном виде будет невозможен для всех пользователей. Защищенные папки и контейнеры будут содержать «цифровой мусор», и в этом случае могут быть удалены любым пользователем, а защищенные диски будут идентифицированы системой как неформатированные устройства.
Защита файловой системы
Защиты файловой системы позволяет легко создавать иерархическую многопользовательскую систему доступа к защищаемым папкам как при работе на конкретном компьютере, так и при работе по сети.
InfoWatch CryptoStorage 2.1 позволяет создавать защищенные папки только в файловой системе NTFS. При этом защищаемая папка не должна располагаться в папке уже защищенной при помощи InfoWatch CryptoStorage 2.1 или папке, защищенной EFS (Encrypting File System - шифрованная файловая система).
Для создания защиты нужно в контекстном меню выбрать пункт «Создать – Папка InfoWatch CryptoStorage».
Рисунок 9. Контекстное меню при создании защищенной папки
В появившемся окне необходимо указать имя защищенной папки, ее расположение, имя владельца, пароль, подсказку к паролю и описание пользователя. Для завершения создания защищенной папки нужно нажать кнопку «ОК».
Рисунок 10. Программное окно для создания защищенной папки
Управление защищенной папкой также осуществляется через контекстное меню.
Рисунок 11. Контекстное меню для управления защищенной папкой
Получить информацию о созданной защите можно нажав команду «Информация о защищенной папке». Для получения этой информации, так же как и для любых действий над защищенными объектами, необходимо подтвердить права владельца папки.
Рисунок 12. Информация о защищенной папке
Для работы с защищенной папкой необходимо сначала ее подключить (команда «Подключить папку»). Для этого, как и для выполнения любых операций с защищенной папкой, нужно указать имя пользователя и его пароль. После подключения пользователь может работать со всеми документами в защищенной папке или ее подпапках, доступ к которым он имеет. По завершению работы нужно отключить папку.
После этого мы можем помещать в папку любую необходимую нам информацию. Все документы в защищенной папке хранятся в зашифрованном виде. Однако перемещение таких объектов за пределы папки приводит к снятию защиты.
При этом доступ к подключенной папке будет осуществляться только в текущей сессии пользователя. Пользователь, зашедший под другой учетной записью на данный компьютер, или администратор сети не будут иметь доступ к подключенной защищенной папке.
Рисунок 13. Получение доступа к защищенной папке
При работе с защищенной папкой предоставляется ряд сервисных функций, которые становятся доступны, только если папка подключена. Если есть необходимость, мы можем сменить имя пользователя и используемый пароль (команда «Сменить ключ пользователя папки»).
Рисунок 14. Изменения данных пользователя
Для организации коллективного доступа к защищенной папке или к любой из её подпапок мы можем добавить нового пользователя. Для этого нужно использовать команду «Список доступа папки», выбрав защищенную папку или соответствующую подпапку в ней. В появившемся окне отображается список пользователей, которые имеют доступ к защищенной папке или указанной подпапке.
Рисунок 15. Список пользователей, имеющих доступ к защищенной папке
Нажав команду «Добавить», мы можем создать запись для нового пользователя или добавить для доступа к выбранной папке уже существующих пользователей.
Рисунок 16. Добавление нового пользователя
Всё это позволяет организовать систему централизованного хранения защищенной информации с разграничением доступа для нескольких пользователей в рамках локальной сети. Назначение различных пользователей для вложенных папок в защищенной папке позволяет построить иерархическую систему доступа к содержанию папки.
Также мы можем провести повторное шифрование с новым ключом (команда «Переустановить защиту папки»). При этом повторное шифрование будет произведено для всех подпапок в защищенной папке. Это следует делать после удаления пользователей из списка доступа.
Защищенные контейнеры
Для создания защищенного контейнера нужно в контекстном меню выбрать пункт «Создать – Контейнер InfoWatch CryptoStorage». В появившемся окне мы должны указать имя защищенного контейнера, расположение и размер контейнера, имя владельца, пароль, подсказку к паролю и описание пользователя. По умолчанию контейнера имеет расширение «.cspc». Нажимаем «ОК» и защищенный контейнер создан. После создания контейнера нужно выполнить процедуру форматирования.
Рисунок 17. Программное окно для создания защищенного контейнера
При подключении защищенного контейнера нужно выбрать букву логического диска. В дальнейшем подключенный контейнер будет доступен в системе в виде логического диска с этой буквой. Также мы можем задать его свойства при помощи флагов:
- «Подключить только для чтения». Если флаг установлен, то все содержимое защищенного контейнера доступно только для чтения, запись и удаление данных не доступны;
- «Подключить как съемный диск». Если флаг установлен, то защищенный контейнер отображается в окне «Мой компьютер» как съемный диск, в противном случае - как фиксированный диск;
- «Подключить только для текущего пользователя». Если флаг установлен, то доступ к контейнеру будет возможен только в сеансе подключившего его пользователя и не будет доступен из сети.
Рисунок 18. Программное окно для подключения контейнера
Работа с контейнером аналогична работе с защищенной папкой и производится при помощи аналогичных команд и программных окон. Для работы с контейнером нужно его подключать/отключать, можно получать информацию о контейнере, менять параметры владельца, добавлять новых пользователей для доступа к содержимому контейнера и переустанавливать защиту.
Рисунок 19. Информация о защищенном контейнере
Защита жестких дисков и сменных носителей
Для создания защищенного диска необходимо вызвать его контекстное меню и выбрать команду «Установить защиту на диск». В появившемся окне мы должны указать имя пользователя, пароль, подсказку к паролю и описание пользователя. После этого нажимаем «ОК», начинает устанавливаться защита на диск. Установка защиты на логические разделы жестких дисков и съемные носители выполняется в фоновом режиме. Поэтому, в процессе установки защиты можно продолжать работу с устройством. Также следует отметить, что установка защиты возможна для любого типа файловой системы.
Рисунок 20. Программное окно для создания защищенного диска
В зависимости от типа защищаемого диска (жесткий диск, флэш-накопитель) и его размера скорость создания защиты будет отличаться. Например, создание защиты на флэш-диске Transcend объемом 2 Гб заняло 25 минут, а создание защищенного раздела на жестком диске WesternDigital размером 10 Гб заняло 6 минут. В процессе создание защиты мы можем видеть процент выполненной работы и расчетное время ее завершения.
Рисунок 21. Процесс установки защиты на диск
Работа с диском аналогична работе с защищенной папкой или контейнером. При помощи команд из контекстного меню мы можем подключать/отключать диск, получать информацию о нем, менять параметры пользователя, добавлять новых пользователей для доступа к содержимому диска, переустанавливать и снимать защиту.
Если процесс шифрования был прерван – был остановлен пользователем или произошел сбой в питании, то данные на диске не будут потеряны. После получения доступа к диску можно продолжить процесс установки защиты или снять ее. Вне зависимости от того, полностью или частично зашифрован диск, для доступа данных на нем требуется произвести подключение.
Следует обратить особое внимание на установку защиты на логические разделы диска, которые являются системными или загрузочными. Авторизация для доступа к ним осуществляется до загрузки операционной системы. Поэтому если по каким-то причинам авторизация не выполнена, загрузка операционной системы не начнется.
Установка защиты на системный раздел также обеспечивает защиту файла аварийного дампа памяти (crash dump) и содержимого оперативной памяти, сохраняемого на системном диске при переходе в спящий (hibernate) режим. Защита системного раздела является полезной функцией, так как позволяет предотвратить утечку конфиденциальных данных через служебную информацию, сохраняемую на жестком диске.
Также в состав InfoWatch CryptoStorage 2.1 входит утилита, позволяющая выполнять две полезные функции при работе с логическими дисками жесткого диска или flash-накопителя:
- Освобождать пространство, занятое защищенными разделами, когда доступ к ним безвозвратно утрачен. Например, пользователь забыл пароль и не может получить доступ к данным в защищенном объекте.
- Восстанавливать доступ к защищенным объектам в случае частичного повреждения метаданных программы на этих объектах. Например, это может произойти при установке или переустановке операционной системы на одном из разделов защищенного физического диска или действий какой-либо вредоносной программы.
Рисунок 22. Утилита для восстановления защищенного диска
Гарантированное удаление файлов и папок
Восстановление файлов, которые были удалены, также является одной из угроз безопасности информации. Использование туннельных микроскопов и специальных утилит позволяет восстановить даже файлы, для удаления которых использовался метод Гутмана, заключающийся в многократной перезаписи данных. Так как теоретически гарантировать 100% удаление данных невозможно, в InfoWatch CryptoStorage 2.1 используется однократная запись новых данных поверх стираемой информации. Это позволяет удалить данные достаточно быстро и не расходовать ресурсы компьютера.
Если необходимо иметь высокую вероятность удаления данных, то стоит их хранить исключительно в зашифрованном виде. Например, шифрование всех разделов диска еще до того, как информация была перенесена на него.
Для удаления файлов и папок при помощи InfoWatch CryptoStorage 2.1 нужно в контекстном меню использовать команду «Гарантированно удалить…». Данная операция применима как к защищённым, так и к незащищённым файлам и папкам.
В заключении нужно сказать, что справочная система написана техническим языком без рекламных вставок и содержит исчерпывающую информацию по работе с InfoWatch CryptoStorage 2.1. Также программа содержит подробную контекстную справку по каждой используемой функции.
Выводы
Закончив описание InfoWatch CryptoStorage 2.1, перейдём к подведению итогов. В целом InfoWatch CryptoStorage 2.1 заслуживает положительную оценку. Программа позволяет защищать различные объекты, работа с зашифрованными данными не требует дополнительных ресурсов компьютера, пользовательский интерфейс прост и понятен. Основные недостатки относятся к эргономичности программы.
Плюсы:
- Функциональность. InfoWatch CryptoStorage 2.1 позволяет шифровать папки, контейнеры и диски (разделы дисков) с использованием алгоритма AES с ключами 128, 192 и 256.
- Пользовательский интерфейс. Основные инструменты встроены в проводник Windows и доступны для пользователя в контекстном меню при работе с объектами, что делает управление понятным большинству пользователей.
- Простота работы. Для работы с зашифрованной информацией достаточно подключить защищенный объект, указав при этом имя пользователя и пароль. Вся работ с защищенными документами ведется в прозрачном режиме, что обеспечивает конфиденциальность и не замедляет работы с защищённой информацией.
- Работа в сети. Использование системы ролей и возможность удаленного доступа к защищенным объектам позволяют организовать систему централизованного хранения защищенной информации с иерархическим разграничением доступа для нескольких пользователей в рамках локальной сети.
- Справочная система. Справка написана хорошим техническим языком и содержит исчерпывающую информацию по работе с программой.
Минусы:
- Нарушения в логике работы с программой. Например, при установке защиты предлагается заполнить «Описание пользователя». Однако, в дальнейшем, для различения пользователей удобнее иметь не их описание, а их данные (например, ФИО) и описание. Поэтому данное поле логичнее назвать «Обозначение пользователя» или «Данные о пользователе».
- Отсутствие базовой справки. Базовая справка предназначена для начального ознакомления пользователя с программой и содержит описание того, с чего нужно начинать работу с программой, а также описание ее основных функций. Базовая справка обычно показывается один раз при первом запуске программы. Наличие такой справки особенно актуально для InfoWatch CryptoStorage 2.1, так как доступ к функциям программы не доступен из главного окна, которое как таковое отсутствует. Это может приводить при начале работы с программы к непониманию того, что нужно делать.
- Неудобства при перемещении защищенных объектов. В отличие от встроенных в Windows средств шифрования (EFS, BitLocker To Go), использование зашифрованных объектов (контейнеров, флэш-дисков) на различных компьютерах затруднено. Для этого на каждом компьютера должна стоять InfoWatch CryptoStorage 2.1. Так как инсталляционный пакет программы маленький (6 Мб), то можно носить его с собой и устанавливать пробную версию на нужные компьютеры. Было бы удобно иметь бесплатный клиент, предназначенный только для получения доступа к уже зашифрованным объектам.
- Трудности в поиске защищенных объектов при их большом количестве. При работе с программой не хватает инструмента для централизованного управления всеми защищенными объектами (менеджер защищенных объектов). Это особенно актуально при наличии большого количества защищенных объектов, так как можно забыть, какие объекты зашифрованы и где они находятся.